ABD havacılık savunma endüstrisini hedefleyen saldırılarda 'PowerDrop' adlı yeni bir PowerShell kötü amaçlı yazılım senaryosunun kullanıldığı keşfedildi.
PowerDrop, geçen ay ABD'de bir savunma yüklenicisi ağında kötü amaçlı yazılım örneği bulan Adlumin tarafından keşfedildi.
Firma, PowerDrop'un ihlal edilen ağlarda kalıcı bir sıçan (uzaktan erişim Truva atı) oluşturmak için PowerShell ve WMI (Windows Management Enstrümantasyonu) kullandığını bildirdi.
Kötü amaçlı yazılımların operasyon taktikleri "hazır" kötü amaçlı yazılım ve gelişmiş APT teknikleri arasında dururken, zamanlama ve hedefler saldırganın muhtemelen devlet destekli olduğunu göstermektedir.
Adlumin, PowerShell komut dosyası yürütme içeriğini inceleyen makine öğrenimi algılamasını kullanarak PowerDrop'u tanımladı; Bununla birlikte, enfeksiyon zinciri veya ilk uzlaşma bilinmemektedir.
Analistler, saldırganların komut dosyasını bir istismar, hedeflere kimlik avı e -postaları veya sahte yazılım indirme siteleri kullanarak dağıtmış olabileceğini varsayıyorlar.
PowerDrop, Windows Management Enstrümantasyonu (WMI) hizmeti tarafından yürütülen ve bir arka kapı veya sıçan olarak işlev görmesi için Base64 kullanılarak kodlanan bir PowerShell betiğidir.
Sistem günlüklerine bakarak araştırmacılar, kötü amaçlı komut dosyasının, daha önce kayıtlı WMI olay filtreleri ve 'SystemPowerManager' adlı tüketiciler kullanılarak yürütüldüğünü keşfettiler, 'WMIC.exe' komut satırı aracı kullanılarak sistem uzlaşması üzerine kötü amaçlı yazılım tarafından oluşturuldu.
WMI, kullanıcıların çeşitli bilgiler için yerel veya uzak bilgisayarları sorgulamasına olanak tanıyan yerleşik bir Windows özelliğidir. Bu durumda, bir performans izleme sınıfındaki güncellemeler için PowerShell komut sorgularını tetiklemek istismar edilmektedir.
Belirli sınıf, işlemler, iş parçacıkları, sistem çağrıları/sn ve kuyruk uzunluğu gibi performansla ilgili bilgilerle sıklıkla güncellenir, bu nedenle her iki dakikada bir kötü amaçlı bir olay tetikleyicisi dikilmesinin şüpheleri artırması olası değildir.
Raporda Adlumin, "WMI olay filtresi WMI sınıfı güncellendiğinde tetikleniyor, bu da PowerShell komut dosyasının yürütülmesini tetikler."
"WMI sınıfı güncellendiği sürece filtre tarafından tetikleme 120 saniyeye bir kez bir yere düşüyor."
PowerDrop komut dosyası etkin olduğunda, yeni bir enfeksiyonun aktif olduğunu işaretleyerek C2 sunucu adresine sabit kodlu bir ICMP yankısı gönderir.
ICMP tetikleyicisinin yükü, C2 altyapısının onu rastgele problardan ayırmasına yardımcı olan, tıkanmamış bir UTF16-Le kodlu dizedir.
Beacon C2 sunucusuna gönderildikten sonra, kötü amaçlı yazılım, genellikle yürütme komutu içeren şifreli ve yastıklı bir yük olan C2'den bir yanıt için 60 saniye bekler.
Kötü amaçlı yazılım, gönderilen yükün sabit kodlu 128 bit AES tuşunu ve 128 bit başlatma vektörünü kullanarak şifresini çözer ve ana bilgisayarda içerilen komutu yürütür.
Ardından, PowerDrop komut yürütme sonuçlarını C2 sunucusuna geri gönderir ve çok büyükse, bunları birden fazla mesaj akışında iletilen 128 bayt parçalara ayırır.
Adlumin, PowerShell ve WMI'nın PowerDrop'un diske asla ".ps1" komut dosyası dosyası olarak dokunmadığı gerçeğiyle birleştiğinde, özellikle gizli hale getirir.
İletişimi AES şifrelidir, Beacon sinyali için kullanılan ICMP protokolü ağ iletişiminde yaygındır ve kötü niyetli ağ trafiği arasındaki 120 saniyelik aralık tespit olasılığını azaltır.
Özellikle havacılık savunma endüstrisinde olan kuruluşların, bu tehdit için uyanık kalmaları, PowerShell infazını izlemeleri ve olağandışı WMI faaliyeti aranması gerekmektedir.
Romcom kötü amaçlı yazılım, chatgpt, gimp, daha fazla google reklamları aracılığıyla yayıldı
50.000 kurulum ile uygulamada gizli yeni Ahrat Android kötü amaçlı yazılım
Gizli Seroxen Sıçan Kötü Yazılım Giderek Oyuncuları Hedeflemek İçin Kullanılır
Yeni PowerExchange Kötü Yazılım Backroors Microsoft Exchange Sunucuları
"Operasyon Magalenha" 30 Portekiz bankasının kimlik bilgilerini hedefliyor
Kaynak: Bleeping Computer